El placer de los estafadores

Los ciberdelincuentes pocas veces descansan, siempre y en todo momento buscando vulnerabilidades para explotar, y ahora apuntan poco a poco más a las https://p8jvhnk910.gitbook.io/dosabogadasvicalvarodeguardia/los-abogados-y-la-globalizacion-abogado-gratis-nos-muestran-acerca-de-las-nuevas-reglas transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de mail de una compañía y se hace pasar por el dueño de una importante cuenta de correo de la empresa. Fingiendo ser un ejecutivo específico, el ladrón envía un e mail a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El receptor del mail, pensando que el mensaje es genuino, transfiere el pago a la cuenta del criminal. Para cuando los 2 negocios se percatan de que han sido engañados, ya es demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué pasa tras algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede esperar recobrarse del propio criminal? Si no se puede localizar al autor, ¿puede la empresa defraudada recobrar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Según el Centro de Denuncias de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de 8.200 millones de dólares en pérdidas desde dos mil trece, con mil setecientos millones de dólares auxiliares en pérdidas ajustadas sólo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier tipo de delito cibernético en ese periodo. El IC3 asimismo estima que las pérdidas mundiales han superado los veintiseis millones de dólares en los últimos tres años. Dado que muchos de estos delitos no se denuncian, la cantidad real es seguramente considerablemente más alta.

Los ataques del BEC se producen poco a poco más en las transacciones comerciales privadas por el hecho de que los delincuentes, simplemente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador adquiere una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso por norma general genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se origina con el criminal apuntando a un ejecutivo de una compañía determinada. Digamos que la compañía A suministra piezas de automóviles a la compañía B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de correo electrónico de la Compañía A, de forma frecuente por medio de un esquema de "phishing", enviando un e mail falso o un enlace web. Una vez que se hace click en él, la cuenta objetivo se ve comprometida. El delincuente puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la forma en que el ejecutivo de la compañía A utiliza el correo electrónico y cómo exactamente se producen las transacciones con la compañía B. Al detectar una buena oportunidad, el delincuente manda un mensaje falso o bien comprometido solicitando la trasferencia electrónica.

En este escenario, la empresa A se ve perjudicada por el hecho de que ha hecho la entrega habitual a la compañía B mas no ha recibido el pago. La empresa B también se ve perjudicada pues ha emitido el pago destinado a la empresa A pero ahora en las arcas del delincuente. Por norma general, la compañía A demandará un pago legítimo a la compañía B, o le exigirá que devuelva la mercadería. ¿A dónde ir desde aquí?

Recuperar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, posiblemente las compañías víctimas recobren los activos perdidos. El IC3 del FBI informó que en dos mil diecinueve, su Equipo de Activos de Recuperación fue capaz de recobrar aproximadamente el setenta y nueve por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares estadounidenses. Sin embargo, para tener alguna esperanza de obtener la restauración del criminal, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay múltiples razones por las que una compañía podría ser reluctante a hacerlo. Conforme el Departamento de Justicia, desde 2016, sólo el 15 por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las compañías son tan precavidas? En primer lugar, una empresa puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, singularmente cuando se determina que el pirata informático está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los E.U., con frecuencia es exageradamente difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en apuntalar los controles internos para asegurar que no vuelva a ser víctima, como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes afectadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Probablemente estas preocupaciones sean exageradas, mas podrían llevar a una compañía a tratar de solucionar las polémicas conexas con sus asociados de manera informal o bien en los tribunales civiles.

Restauración de activos del socio comercial

Cuando una compañía no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, cuyo sistema de mail fue inicialmente pirateado, o la compañía B, que envió el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de resoluciones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el peligro de pérdida? Hasta ahora los tribunales han adoptado un enfoque similar para estos casos.

El primer caso relevante fue una disputa de 2015, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por quinientos setenta dólares estadounidenses. Tanto el sistema de mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el costo total de compra de 570.000 dólares estadounidenses.

El tribunal de distrito señaló que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su sitio, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable después de recibir e mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o contrastar las instrucciones de cable adecuadas antes de enviar los quinientos setenta dólares. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de 2016, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su e mail. Ubom representó a Amangoua Bile, un cliente del servicio que terminaba de llegar a un acuerdo de 63.000 dólares con su antiguo empleador en una demanda por discriminación en el uso. El estafador empleó el e mail de Ubom para mandar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete siguió esas instrucciones, el delincuente hurtó el dinero. Bile y su antiguo empleador, RREMC, presentaron peticiones